Des médias portugais et israélien victimes de cyberattaques
Après que le plus grand éditeur norvégien de presse locale a été victime d’assauts cyber (voir brief du 3 janvier), c’est au tour du Portugal et d’Israël d’être exposés. Sont concernés le groupe lusitanien Impresa et le quotidien israélien Jerusalem Post.
Le géant des médias Impresa, qui possède la plus grande chaîne de télévision et le plus grand journal du Portugal, a été paralysé par une attaque par ransomware quelques heures s eulement après le début de l'année 2022. Le groupe de ransomware Lapsus$ est soupçonné d’être à l’origine de ces cyberattaques.
Qui a été touché ? Les pirates ont ciblé précisément le site web d'Impresa, le journal Expresso et la chaîne de télévision SIC. Au moment de la rédaction de cet article, le site de SIC et d’Expresso étaient de nouveau en ligne. Mais c’est aussi l'infrastructure de serveurs essentielle aux opérations d'Impresa qui a été touchée. Le compte Twitter officiel d’Expresso a également été compromis. Il a été détourné et utilisé pour se moquer de l'entreprise.
Mais qui est Lapsu$, le groupe suspecté d’avoir mené l’assaut cyber ? Ce gang est apparu sur la scène des ransomwares en 2021. Il est jusqu'à présent connu pour avoir attaqué le ministère de la Santé du Brésil, en décembre 2021. L'incident avait mis hors service plusieurs services en ligne, réussissant à effacer les informations sur les données de vaccination covid-19 des citoyens. Mais aussi à perturber le système qui délivre les certificats numériques de vaccination.
"Les diffusions nationales par ondes hertziennes et par câble fonctionnent normalement, mais l'attaque a mis hors service les capacités de diffusion Internet de SIC", selon un billet de blog publié le 3 janvier par The Record, le service d'information de la société d'analyse de sécurité Recorded Future. Des organes de presse ont également signalé l'attaque, notamment le journal portugais Observador.
Lapsus$ s'est identifié comme le coupable de la cyberattaque. Il a paralysé tous les sites d'Impresa avec une note de rançon. Note dans laquelle il a annoncé avoir obtenu l'accès au compte Amazon Web Services (AWS) d'Impresa, selon une capture d'écran de la note mise en ligne par The Record. Ni l'entreprise ni Lapsus$ n'ont jusqu'à présent révélé le montant de l'extorsion associée à l'incident. Il est à noter que c’est la première fois que le groupe attaque une entité au Portugal, a déclaré à Observador Lino Santos, le coordinateur du Centre national de cybersécurité du Portugal.
En Israël, des pirates ont attaqué le site Internet de Jerusalem Post, un important journal israélien. Ils ont publié une photo d'une installation nucléaire israélienne détruite par un missile ainsi qu'une menace rédigée en anglais et en hébreu : "Nous sommes proches de vous là où vous n'y pensez pas."
Cette cyberattaque intervient à l'occasion du deuxième anniversaire de l'assassinat par le gouvernement américain de Qassem Soleimani, l'ancien commandant de la Force Al-Qods du Corps des gardiens de la révolution islamique (branche des forces armées iraniennes). Des responsables israéliens auraient aidé les États-Unis à éliminer le dignitaire iranien par une frappe de drone peu après son arrivée à Bagdad.